Forma não invasiva para a nossa equipe de rede executar ping / tracert / etc a partir de vários servidores

2

Na solução de problemas de conectividade, nossa equipe de rede não tem direitos sobre nossos servidores (Windows e RHEL) para conectar e testar a conectividade (por exemplo, quando ajusta uma regra de firewall, um ticket oscila conforme modifica algo). teste, então eles o ajustam, depois testamos novamente, etc.), o que amplia consideravelmente a resolução de problemas. Existe uma maneira que eu possa permitir que eles executem essas ferramentas dos servidores em questão com risco mínimo de segurança?

Eu sei que eles poderiam fazer isso se eu tivesse o TELNET ou o SSH habilitado e eles pudessem ter acesso à linha de comando, mas eu prefiro não abrir uma lacuna tão grande. Existe um pequeno pacote de "ferramentas básicas de rede" que eu poderia instalar nos meus servidores que é acessível através de uma interface web ou TELNET? Apenas algo que lhes dá a opção de PING daquele servidor, teste a conectividade através de portas para outros locais, etc.

Se houver outras soluções ou se estiver faltando algo óbvio, avise-me.

    
por SqlRyan 22.07.2014 / 16:54

1 resposta

4

Depende realmente de quanto você confia neles.

Opção 1 - Continue fazendo você mesmo

Se você não confia neles, não lhes dê nenhum acesso ... mas, na verdade, eles controlam seu firewall, então você deve confiar neles pelo menos um pouco. Ainda assim, nada mais será tão seguro quanto não lhes dar acesso como todos.

Opção 2: fornecer uma conta muito limitada

Se você confiar neles para não fazer nada malicioso (mas não confie neles para não fazer nada STUPID), dê a eles um shell chrooted que tenha ping e traceroute copiados para ele, no qual eles podem executar SSH e executar testes. Dependendo de quão bem você configurar isso, pode ser em qualquer lugar de cheeze suíço para bastante seguro. Mas mesmo que isso não seja impenetrável, isso os impede de causar qualquer dano acidentalmente. (Estou assumindo o linux aqui desde que você mencionou o SSH ... as janelas não têm um equivalente muito bom, tanto quanto eu sei).

Isso é bastante fácil de configurar, mas requer que a equipe de rede faça o login e execute os próprios comandos.

Opção 3 - traceroute baseado na Web

Como você mencionou que fazer login no servidor pode ter problemas sociais / políticos, outra opção pode ser configurar um site muito simples (ou uma pasta em um site existente, se forem servidores da Web) que tenha uma página que será executada traceroute e ping (e nada mais). Algo como o link , mas executado a partir do seu próprio servidor. Você pode restringi-lo a um determinado intervalo de endereços IP de origem ou exigir um nome de usuário / senha para acessar a página, se necessário.

Se você optar por esse método, poderá encontrar alguns scripts existentes úteis pesquisando algo como "traceroute php baseado na web", ou poderá escrever o seu próprio, desde que tenha cuidado com a saída adequada do usuário.

Isto será mais simples e rápido para eles, e lhes dará muito pouco mais acesso do que o que eles já possuem, controlando a rede.

Você pode até prepará-lo para eles com antecedência - se quiser permitir o tráfego de saída do seu servidor example.com para 192.168.55.100, você pode enviar um ticket como:

Please change the firewall to allow us to connect to 192.168.55.100. Can you please check that it works by clicking this link and checking that we can ping it? http://example.com/networktools/ping.php?ip=192.168.55.100

Dependendo do nível de confiança, você também pode incluir ferramentas como o nmap para que elas possam verificar se as portas estão acessíveis.

    
por 22.07.2014 / 17:01